L’attacco cyber non è più una tempesta che appare raramente all’orizzonte ma una condizione del mare con cui le organizzazioni devono imparare a convivere. Non importa quanto sia robusta l’imbarcazione o quanto dettagliate siano le procedure di bordo: quando arriva una mareggiata, ciò che conta davvero è la capacità di mantenere la rotta e riprendere la navigazione nel minor tempo possibile.
Nel linguaggio delle aziende, la Cyber Resilience è l’arte di trasformare l’interruzione in un esercizio di ripartenza rapida – accorgersi, isolare, riavviare, imparare – prima che il danno diventi irreversibile.
Resilienza operativa significa, quindi, ripensare la sicurezza come una squadra di pronto intervento: procedure allenate, responsabilità chiare, strumenti che parlano fra loro e un piano di recupero che si attiva automaticamente, non solo su carta.
Il dato: 6 aziende italiane su 10 sono state attaccate nell’ultimo anno
Sei aziende italiane su dieci hanno subìto un attacco informatico nell’ultimo anno.
La questione non è più legata, quindi alla probabilità che un evento di questo tipo accada, piuttosto alla capacità di rendere la vita difficile agli attaccanti e ripristinare rapidamente la normale operatività.
È questo il punto di partenza della ricerca “Owning Operational Resilience in 2026” di ManageEngine, divisione di Zoho Corporation dedicata allo sviluppo di software per la gestione e la sicurezza dell’IT aziendale, condotta su 1.514 IT e business decision maker in Italia, Regno Unito, Spagna, Germania e Paesi Bassi.
Lo studio fotografa un mercato in cui le priorità sono passate progressivamente dagli obblighi di conformità normativa alla Cyber Defence, e da questa alla Cyber Resilience.
La resilienza operativa si costruisce prima dell’emergenza
Per anni la cybersecurity delle aziende italiane è stata scritta, più che progettata, dalle esigenze di compliance. GDPR, NIS2, DORA… Ogni normativa con il proprio impianto di adempimenti, ciascuna interpretata spesso come una checklist da completare piuttosto che come una leva di trasformazione reale.
Investire in sicurezza significava, troppo spesso, rispondere a un obbligo normativo e a esigenze di audit trail più che a una reale strategia di difesa. Oggi questo paradigma sta cambiando e i numeri della ricerca raccontano di un mercato che inizia a guardare oltre l’adempimento, spostando l’attenzione dalla domanda “Come evito un attacco?” alla domanda, ben più scomoda, “Come reagisco quando l’attacco si verifica?”.
Il cambio di passo dalla compliance alla Cyber Resilience
Sulla base delle evidenze del paper, infatti, il 62% delle organizzazioni del Bel Paese ha sperimentato un incidente informatico negli ultimi 12 mesi, una quota che pur restando inferiore alla media europea (che si attesta al 66%) conferma quanto il rischio cyber sia diventato una componente strutturale dell’operatività quotidiana e non più un’eccezione da gestire occasionalmente con un piano d’emergenza scritto una volta e mai più aggiornato.
Il focus per CISO e CIO si sposta, quindi, dalla prevenzione alla capacità di garantire la continuità operativa anche negli scenari emergenziali.
Serve cambiare l’approccio organizzativo
Il punto, va detto, non è abbandonare gli obblighi normativi – compliance e resilienza non sono in competizione, ma si completano. Il problema nasce quando la prima diventa un fine e non un mezzo.
Una distinzione, questa, che cambia radicalmente l’approccio organizzativo. Non si tratta più di azzerare la probabilità di un attacco, ma di costruire la capacità di limitarne l’impatto quando, inevitabilmente, si verificherà. È in questi casi che la resilienza informatica smette di essere un concetto astratto da slide di convegno per diventare un parametro di sopravvivenza del business.
Le 4 aree chiave da gestire: organizzazione, identità, asset, monitoraggio
Lo switch verso la resilienza operativa richiede di intervenire su alcuni fronti precisi, che la ricerca ManageEngine individua con chiarezza. «Il primo è organizzativo – evidenzia Andrés Mendoza, Technical Director Southern Europe di ManageEngine –. Servono processi definiti, responsabilità assegnate, ruoli chiari, non più affidati all’improvvisazione del momento o alla buona volontà di chi si trova a gestire l’emergenza».
Il secondo riguarda la «gestione delle identità, indicata da più voci come uno dei nodi più critici e meno risolti del panorama italiano. Password, accessi, privilegi continuano a essere il terreno su cui si accumula gran parte delle vulnerabilità sfruttate dagli attaccanti, e la proliferazione di account, applicazioni cloud e dispositivi non ha fatto che complicare il quadro».
Il terzo fronte è la «conoscenza approfondita dei propri asset. Senza un inventario aggiornato di infrastrutture, applicazioni e dipendenze diventa impossibile capire davvero cosa proteggere e dove intervenire in caso di anomalie. Troppe organizzazioni, ancora oggi, scoprono di avere sistemi attivi e raggiungibili da Internet di cui avevano perso traccia proprio nel momento peggiore, ovvero nel corso di un incidente».
Il quarto, infine, è il «monitoraggio continuo degli eventi, che assicura la capacità di accorgersi che qualcosa non va prima che un’anomalia isolata si trasformi in una crisi sistemica capace di paralizzare l’intera operatività aziendale».
Sono questi quattro pilastri, più che l’adozione di tecnologie e piattaforme allo stato dell’arte a segnare la linea di demarcazione netta tra un’organizzazione resiliente e una semplicemente compliant.
Bisogna lavorare sulla velocità di reazione
Sul fronte della preparazione, «l’Italia mostra segnali di maturità significativi, e in alcuni casi superiori a quanto ci si aspetterebbe da un mercato storicamente percepito come in ritardo sui temi di sicurezza digitale – sottolinea il manager–. Il 98% delle aziende italiane conduce revisioni formali post incidente, il 95% dispone di strategie di backup consolidate, l’89% ha una definizione chiara di ruoli e responsabilità e l’85% si è dotato di un sistema formale di detection con target di responsabilità definiti».
Buone notizie arrivano dallo studio per quanto attiene alla velocità di reazione, con il 91% delle organizzazioni che si dice in grado di identificare un incidente entro 24 ore e l’88% di rispondere altrettanto rapidamente. Numeri che collocano l’Italia, insieme al Regno Unito, tra i Paesi con i tassi più alti efficacia nella Detection & Response a livello europeo.
La recovery il vero tallone d’Achille
La recovery rappresenta, al momento, il vero anello debole della catena della resilienza. Solo il 39% delle aziende italiane riesce a recuperare completamente entro 10 giorni da un incidente critico, mentre il 21% ha bisogno di 11 giorni o più per tornare a pieno regime.
Un altro 40% non ha subito incidenti critici nel periodo osservato, ma quelli che si sono verificati sono stati risolti quasi immediatamente, segno che la severità dell’incidente conta quanto, se non più, della sua semplice eventualità.
Le minacce più insidiose
Tra le minacce più subdole rilevate dalla ricerca, la Vulnerability Exploitation, riconducibile a misconfigurazioni o patch non installate, guida la classifica con il 45% delle citazioni, seguita dall’errore umano (40%), dai problemi legati a violazioni dei sistemi di terze parti (34%) e dal mancato aggiornamento o patching di software (33%).
Un quadro che conferma una verità nota da tempo agli addetti ai lavori, ma ancora troppo spesso trascurata nei piani di investimento: le falle più pericolose non sono quasi mai quelle più “esotiche”, ma quelle banali, già note da tempo, lasciate aperte da una configurazione errata o da un aggiornamento rimandato.
Se si sposta l’analisi agli incidenti effettivamente subiti, ransomware e malware restano la categoria più diffusa e coinvolgono il 54% delle organizzazioni italiane, ma gli attaccanti stanno affinando costantemente le tecniche per eludere le difese tradizionali, sfruttando con sempre maggiore efficacia vulnerabilità tecniche ed errori umani in combinazione tra loro.
Il risultato è una superficie di attacco che cresce più rapidamente della capacità delle organizzazioni di difenderla con i soli strumenti tradizionali.
Il peso crescente degli attacchi basati su AI
Il dato che più segna la discontinuità rispetto al passato riguarda, però, le minacce legate all’intelligenza artificiale. Il 35% degli intervistati italiani ha individuato gli attacchi AI come uno dei principali rischi di cybersecurity da affrontare nei prossimi 12 mesi, collocandoli davanti a molti vettori tradizionali e segnalando, così, un cambio di percezione netto rispetto alle rilevazioni degli anni precedenti.
Mendoza, lo inquadra con chiarezza: «La cybersecurity in Italia sta entrando in una nuova fase in cui le organizzazioni non si trovano più a fronteggiare solo minacce convenzionali come ransomware e phishing. I team IT e security si stanno preparando a un futuro in cui l’AI consentirà agli aggressori di agire più rapidamente, scalare più facilmente le proprie attività e aggirare più velocemente le difese tradizionali. Il dato incoraggiante è che molte aziende stanno già investendo in Cyber Resilience per affrontare queste sfide».
Le minacce abilitate dall’intelligenza artificiale non si limitano a velocizzare gli attacchi già conosciuti: ne moltiplicano la scala e la personalizzazione, rendendo il phishing più credibile, la ricerca di vulnerabilità più rapida e gli exploit più difficili da intercettare con le tecniche di rilevamento tradizionali, quelle basate su pattern e firme già note. «L’AI è un avversario che impara più in fretta di quanto molte organizzazioni riescano ad adattarsi, e proprio per questo la governance del rischio AI sta scalando rapidamente le agende di investimento dei prossimi 12-24 mesi», commenta Mendoza.
Governance e coinvolgimento del board
Uno dei nodi più delicati che emerge dalla ricerca riguarda il rapporto tra i team tecnici e il vertice aziendale. Solo il 20% delle organizzazioni italiane parla di un coinvolgimento continuo della leadership sui temi di Cyber Resilience, mentre il 49% segnala che i decisori vengono coinvolti soltanto durante una crisi, quando il danno è già in corso e le opzioni a disposizione si riducono drasticamente.
«Si tratta di un disallineamento che pesa, perché la resilienza informatica non può essere relegata a un tema esclusivamente tecnico, ma deve entrare a far parte delle discussioni strategiche ordinarie del board, al pari di altri rischi aziendali rilevanti», ha evidenziato Sujoy Banerjee, Regional Business Director di ManageEngine.
Le priorità di investimento per i prossimi 12-18 mesi
Guardando avanti, le aziende italiane indicano priorità di investimento piuttosto nitide. Il 30% destina le proprie risorse al Security Monitoring e alla detection, a conferma di quanto la visibilità sugli eventi resti centrale nelle strategie di resilienza.
Le priorità più ampie convergono su tre direttrici: migliorare la visibilità su asset, utenti, dipendenze e rischi; semplificare le operazioni riducendo la proliferazione dei tool, automatizzando i task manuali e adottando un approccio unificato alla gestione della sicurezza e, infine, migliorare la velocità di recovery, testando con regolarità i piani di continuità e concentrandosi sulla minimizzazione delle ricadute sul business.
La visione di ManageEngine: identità, asset, AI integrata
Per ManageEngine, la risposta alla complessità di questo scenario passa da un’offerta che integra capacità di Inventory Management, Unified Services Management, SIEM (Security Information and Event Management) e Privileged Identity Management (PIM) in un’unica logica di governance unificata, pensata per accompagnare le organizzazioni proprio nel passaggio dalla compliance alla resilienza.
L’azienda, distribuita in Italia in esclusiva da Bludis, ha costruito la propria offerta attorno alla capacità di garantire un inventario centralizzato e costantemente aggiornato di risorse, identità e, soprattutto, delle interdipendenze che le collegano. Un tassello, questo, che risponde direttamente alla necessità, più volte richiamata nella ricerca, di conoscere a fondo i propri asset per riuscire a proteggerli in modo efficace.
Workload, workplace, workforce: i 3 pilastri di un’offerta integrata
Il modello di offerta di ManageEngine si articola su tre dimensioni che Mendoza definisce «workload, workforce e workplace, che noi presidiamo con soluzioni ottimizzate. Gli strumenti di Endpoint Management per proteggere il workplace, lesoluzioni di IT Service Management per bilanciare il workload e le funzionalità di Identity & Access Management per garantire accessi sicuri alla workforce».
Da un lato, i servizi, le applicazioni e i server, on premise o in cloud; dall’altro le persone connesse, con la gestione di identità, permessi e device, fino ai dispositivi che si collegano quotidianamente alla rete aziendale.
Sull’intelligenza artificiale, la posizione di ManageEngine è netta e, come osserva Banerjee, «l’AI deve essere embedded, integrata nelle funzionalità delle soluzioni esistenti all’insegna della miglior efficacia, piuttosto che proposta come livello applicativo separato e aggiuntivo da gestire».
Un approccio che, secondo l’azienda, risponde proprio al bisogno di semplificazione operativa segnalato da una parte significativa delle organizzazioni intervistate, alle prese con una proliferazione di strumenti che rischia di complicare, più che rafforzare, la postura di sicurezza complessiva.
Il prossimo passo: dalla consapevolezza all’azione
I numeri della ricerca ManageEngine raccontano un’Italia che ha fatto, in pochi anni, passi avanti concreti, anche se non risolutivi. I protocolli di Detection & Response sono solidi, la cultura della revisione post incidente è ormai consolidata nella quasi totalità delle organizzazioni e la consapevolezza del rischio cyber è entrata stabilmente nell’agenda di CIO e CISO. Quello che manca, e che la ricerca individua con precisione, è l’ultimo miglio: trasformare la maturità nella gestione dell’incidente in velocità di recupero e la consapevolezza del board in coinvolgimento continuo, non episodico.
La buona notizia è che la direzione è già tracciata. Le aziende italiane sanno cosa devono fare: investire in visibilità sugli asset, semplificare un panorama di strumenti spesso frammentato, gestire le identità con maggior rigore e prepararsi a fronteggiare un avversario sconosciuto che, complice l’IA, è destinato a diventare ancora più subdolo e difficile da prevedere.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Annalisa Casali
Source link
